si es verdad lo mismo te he mareado , pero claro pense en que si un usuario por error introduce un email que no es el suyo y por casualidad existe en la bd o simplemente lo hace aposta , la mejor manera para mi es la opcion 1 que te dije ahora , tu deberias hacerlo de la manera que tu mejor creas cualquiera de las 3 que hemos hablado son validas , si quieres seguir como estabas tan solo usa el campo del email para saber que usuario es y pasalo en el link

y eso si siempre un token que garantize que el usuario proviene del link

ya que si no solamente poniendo en la url , el time actual digamos y un email con el controller y la accion que pusiste en la url podriamos acceder directamente al cambio de contraseña y quebrar la seguridad , por eso ya te dije que no es una buena practica pasar de esa manera el controlador y la accion, un usuario con conocimiento puede saltar tu seguridad muy rapido tan solo siguiendo los parametros de la url